Dans le monde merveilleux des malwares et plus particulièrement des RATs (Remote Access Trojan), tels que Gh0st ou PoisonIvy, voici venue une nouvelle variété baptisée les FAKEM.
Jusqu’à présent, les RATs étaient facilement détectables grâce au trafic réseau qu’ils généraient. Ce trafic « type » faisait office de signature, rapidement repérable par les systèmes de protection anti-malware. Mais cette époque semble révolue puisque Trend Micro vient de publier un document de recherche dans lequel ils expliquent qu’ils ont découvert une nouvelle variante de ces RATs.
Ces derniers savent maintenant camoufler leur trafic réseau pour le faire ressembler à du trafic en provenance de MSN, Yahoo! Messenger ou tout simplement à des paquets HTML. Le déguisement est sommaire puisque seuls les entêtes des paquets sont semblables à du trafic « propre ». Une analyse plus poussée suffit alors pour constater que le contenu du paquet est chiffré et ne correspond pas à un véritable paquet MSN ou HTML. Cependant, cela suffit à contourner une détection rapide.
Voici un paquet MSN normal…
Et voici un paquet RAT FAKEM imitant un paquet MSN…
Pour cette étude, Trend Micro a mis en place un honeypot (pot de miel) afin de capturer ces FAKEM, déchiffrer le trafic envoyé vers ces derniers et ainsi analyser leur fonctionnement. Quoi qu’il en soit, les éditeurs d’antivirus et d’outils de détections qui ne le font pas encore devront probablement s’adapter afin d’analyser un peu plus finement la structure des paquets transitant sur le réseau (DPI ?).